Redazione RHC : 4 Giugno 2025 07:26
I ricercatori hanno lanciato l’allarme: il servizio cloud OneDrive potrebbe consentire ad applicazioni web di terze parti di accedere a tutti i file di un utente. Secondo Oasis Security, la vulnerabilità è legata al funzionamento di OneDrive File Picker e consente ai siti di accedere all’intero spazio di archiviazione dell’utente e non solo ai file selezionati per il download tramite questo strumento.
“Ciò è dovuto agli ambiti eccessivamente ampi di OAuth e alle finestre di dialogo fuorvianti che non forniscono all’utente un’idea chiara dell’ambito di accesso concesso. La vulnerabilità potrebbe avere gravi conseguenze, tra cui la fuga di dati dei clienti e la violazione dei requisiti normativi”, spiegano i ricercatori.
L’azienda stima che il problema riguardi diverse app, tra cui ChatGPT, Slack, Trello, Zoom e ClickUp, data la loro integrazione con il servizio cloud di Microsoft. La radice del problema risiede nelle autorizzazioni eccessive richieste da OneDrive File Picker, che richiede l’accesso in lettura all’intero archivio, anche quando viene caricato un solo file. Ciò è dovuto alla mancanza di impostazioni OAuth dettagliate per OneDrive.
Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
“In poche parole, qualsiasi app web che utilizzi OneDrive File Picker ha accesso non solo al file selezionato per il caricamento/scaricamento, ma all’intero OneDrive. Quel che è peggio, questo accesso può persistere anche dopo il completamento del download del file”, spiegano i ricercatori.
La situazione è aggravata dal fatto che la richiesta di consenso che gli utenti ricevono prima di scaricare un file è formulata in modo molto vago e la persona potrebbe non comprendere appieno quali diritti sta concedendo.
“La mancanza di impostazioni di autorizzazione dettagliate impedisce agli utenti di distinguere tra app dannose che prendono di mira tutti i file e quelle legittime che richiedono autorizzazioni eccessive semplicemente perché non ci sono altre opzioni sicure”, scrive Oasis.
Allo stesso tempo, gli esperti aggiungono che i token OAuth vengono spesso archiviati in modo non sicuro e salvati nelle sessioni del browser in formato testo normale.
Un altro potenziale problema è che il processo di autorizzazione potrebbe anche emettere un token di aggiornamento, che consente all’applicazione di continuare ad accedere ai dati dell’utente. Ciò consente a un’applicazione di ottenere nuovi token di accesso senza richiedere all’utente di effettuare nuovamente l’accesso dopo la scadenza del token corrente.
Dopo la pubblicazione del rapporto Oasis Security, i rappresentanti di Microsoft hanno riconosciuto l’esistenza del problema, ma non è stata ancora trovata alcuna soluzione. Gli sviluppatori Microsoft hanno fatto notare che questo problema non è immediatamente risolvibile, poiché l’utente deve comunque fornire il proprio consenso prima che venga consentito l’accesso.
Si consiglia agli utenti di valutare la disattivazione temporanea della funzionalità di caricamento file tramite OneDrive e OAuth finché non verrà trovata un’alternativa sicura. I ricercatori consigliano inoltre di evitare l’uso di token di aggiornamento e di conservare i token di accesso in un luogo sicuro, per poi eliminarli quando non sono più necessari.
RedazioneUna nuova campagna malevola sta utilizzando Facebook come veicolo per diffondere Datzbro, un malware Android che combina le caratteristiche di un trojan bancario con quelle di uno spyware. L’allarme...
La Community di Red Hot Cyber ha avuto l’opportunità di partecipare a “Oltre lo schermo”, l’importante iniziativa della Polizia Postale dedicata ai giovani del 2 ottobre, con l’obiettivo di...
Il giornalista della BBC Joe Tidy si è trovato in una situazione solitamente nascosta nell’ombra della criminalità informatica. A luglio, ha ricevuto un messaggio inaspettato sull’app di messagg...
Il Cyberspace and Infrastructure Security Center (CISA), ha recentemente inserito la vulnerabilità critica nell’utility Sudo al suo elenco KEV (Actively Exploited Vulnerabilities ). Questo di fatto...
In questo periodo il dibattito sull’intelligenza artificiale applicata al mondo del lavoro è sempre più intenso, segno evidente di come la tecnologia digitale stia trasformando radicalmente modali...
